vpn Пробуем КВАС (Shadowsocks и другие VPN клиенты)

[Zeleza]

ВНИМАНИЕ!

Самое свежее описание и документацию по пакету КВАС Вы сможете найти на GitHub.

-----

Данный пакет позволяет осуществлять контроль и поддерживать в актуальном состоянии список разблокировки хостов или "Белый список". При обращении к любому хосту из этого списка, весь трафик будет идти через фактические любое VPN соединение, заранее настроенное на роутере, или через Shadowsocks соединение. Здесь реализуется связка ipset+vpn|shadowsocks+dnsmasq(wildcard)+dnscrypt-proxy2.

Пакет представляет собой обвязку или интерфейс командной строки для работы с белым списком.

Особо выделю, возможность данного пакета, в связи с использованием в нем dbsmasq с wildcard, работать с любыми доменными именами третьего и выше уровней. Т.е. в белый список достаточно добавить *domen.com и маршрутизация трафика будет идти по выбранному vpn при обращении, как к sub1.domen.com, так и к любому другому подломанному имени subN.domen.com.

Обвязка основана на выложенных в открытом доступе скриптах по следующим ссылкам: ссылка#1, ссылка#2, ссылка#3. Особая благодарность авторам и низкий им поклон за труды их: @Le ecureuil, @ndm, @avn, @Александр Рыжов, @ankar84, @Mastersland, @zyxmon

Преамбула

Скрытый текст

Данный пакет является третьим из серии поддержки проекта Жезл и прежде чем выпускать вариант для Жезла, решил протестировать для начала обвязку на bash, чтобы понять все тонкости настройки и детали отладки.

Почему именно такая связка ?

1. О достоинствах и недостатках Shadowsocks повторяться не стану - почитайте тут.
2. Помимо Shadowsocks поддерживаются: 
   1. OpenVPN (подтверждено),
   2. Wireguard (подтверждено) 
   3. IKEv1 и IKEv2 (для работы необходимо поставить в настройках галочку "Использовать для выхода в интернет") - (НЕ подтверждено) 
   4. PPPOE (НЕ подтверждено) 
   5. L2TP (НЕ подтверждено) 
   6. SSTP (НЕ подтверждено) 
3. Быстрота работы dnsmasq, даже при наличии множества доменных имен в списке, за счет его умения работать с хешем, а не с самими доменными именами.
4. Работа dnsmasq в режиме wildcard, когда можно вместо доменных имен третьего и выше уровня, просто указать звездочку. 
5. Утилита dnscrypt-proxy2 позволяет сделать DNS запросы зашифрованными. 
6. Как dnsmasq, так и dnscrypt-proxy2 позволяют организовать блокировку списков спама. В Квасе реализован вариант работы с dnsmasq.
7. Начиная с версии 1.0 beta 8 добавлена возможность подключения AdGuard Home в качестве DNS сервера.   

Почему КВАС?

Просто на на заморском наречии слово Shadowsocks созвучно с соком на конце слова.
Потому наш ответ соку это КВАС.))

Возможности

Скрытый текст

1. Квас работает на всех роутерах Keenetic, в виду легковесности задействованных пакетов (начиная с версии 0.9 beta 9 работает на всех платформах: mips, mipsel, aarch64)
2. Квас использует dnsmasq, с поддержкой регулярных выражений, а это в свою очередь дает одно, но большое преимущество: можно работать с соцсетями и прочими высоко-нагруженными сайтами, добавив лишь корневые домены по этим сайтам.
3. Квас позволяет просматривать/добавлять/удалять/очищать/обновлять/импортировать и экспортировать доменные имена списка разблокировки или белого списка.
4. Квас позволяет отображать статус/отключать/включать блокировку рекламы
5. Квас позволяет отображать статус/отключать/включать шифрование DNS
6. Квас позволяет тестировать и выводить отладочную информацию по всем элементам связки ipset+shadowsocks+dnsmasq+dnscrypt-proxy2
7. Начиная с версии 1.0 beta 8 добавлена возможность подключения AdGuard Home в качестве DNS сервера.   

Ключи запуска

Примеры использования

Скрытый текст

kvas add ya.ru               - добавляем ya.ru в список разблокировки без поддержки регулярных выражений.
kvas add *ya.ru             - добавляем ya.ru в список разблокировки c поддержкой регулярных выражений.
kvas import ./list              - добавляем хосты из файла в списочный файл.
kvas rm google              - удаляем все хосты со словом google внутри из списочного файла.
kvas show                      - выводим все хосты из списка разблокировки.
kvas test                         - тестируем работу всех служб.
kvas debug > ./log          - сохраняем лог отладочной информации в файл.
kvas purge                     - удаляем все хосты из списка разблокировки.

Ограничения

1. Данный пакет использует возможности Entware - без установленного Entware он не работает
2. В пакете используются некоторые функции API от Keenetic, потому на других роутерах он работать не будет. Хотя это ограничение возможно обойти.
3. Пакет работает пока только на IPv4.

 

P.S.
Поддержать проект можете, путем своего участия в проекте (пишите в "личку"), либо путем перевода любой суммы средств на этот кошелек ЮМани.

Изменено 27 декабря, 2022 пользователем Zeleza

[w00zle]

Инструкция для Heroku уже не актуальна, чуть менее чем полностью. Для регистрации из России нужен VPN и знать в какой стране выходной узел, что бы не ошибиться в анкете. И при использовании все равно блочат. Кого то раньше кого то позже. Там в конце статьи в комментариях про это есть. Меня блокнули через пару месяцев. И там по умолчанию используется плагин v2ray, его то же нужно ставить или он в составе кваса?

Скрытый текст

dnsmasq с регулярками я вижу прижился, но полностью он раскрываеться при работе с маркировкой пакетов (mangle)

 

Изменено 2 июня, 2022 пользователем w00zle

[Zeleza]

45 минут назад, w00zle сказал:

И там по умолчанию используется плагин v2ray, его то же нужно ставить или он в составе кваса?

Доброго дня 

нет, в составе Кваса лишь, то что заявлено в описании.

[Art-9]

1 час назад, Zeleza сказал:

Нет возможности использовать совместно с AdGuard Home (особенности работы dnsmasq).

Что это за особенности dnsmasq?

Что мешает направить DNS запросы так: LAN клиенты > AdGuard Home > dnsmasq

[w00zle]

23 минуты назад, Zeleza сказал:

Доброго дня 

нет, в составе Кваса лишь, то что заявлено в описании.

Тогда с Heroku не взлетит, боюсь. ИМХО ссылку на статью на хабре лучше убрать, что бы исключить вопросы - а почему не работает

[TheBB]

2 часа назад, Zeleza сказал:

Минус - используется вариант dnsmasq, с поддержкой регулярных выражений только для архитектуры mipsel (другого пока не нашел)

dnsmasq-full_2.86-9999_aarch64

dnsmasq-full_2.86-9999_mips

dnsmasq-full_2.86-9999_mipsel (до кучи)

[i81]

Вечер добрый, товарищи!

@Zeleza

Спасибо большое за Ваши труды!

Подскажите пожалуйста, в КВАСе можно сделать так, что бы трафик с самого роутера тоже шол согласно списка обхода, а не только трафик br0?

[Zeleza]

Пробуем  kvas_0.9-beta_9_all.ipk с поддержкой всех платформ.
Отдельное благодарю @TheBB 

Изменено 4 июня, 2022 пользователем Zeleza

[Zeleza]

1 час назад, i81 сказал:

Подскажите пожалуйста, в КВАСе можно сделать так, что бы трафик с самого роутера тоже шол согласно списка обхода, а не только трафик br0?

Доброго вечера, 

Я тружусь в основном над обвязкой (или интерфейсом командной строки) для работы с белым списком. 
Это больше вопрос к @avn и другим мудрым людям. В Квасе использованы скрипты на основе их наработок. 

[Zeleza]

3 часа назад, Art-9 сказал:

Что мешает направить DNS запросы так: LAN клиенты > AdGuard Home > dnsmasq

Доброго вечера, 
Благодарю за мысль добрую - так не пробывал еще. 
У Вас получилать подобная связка? Все работает?

[TheBB]

Т.к. пакет "entware-release" "прибит гвоздями" (см. в "opt-ndmsv2"), архитектуру мона определить так:

`grep "arch" /opt/etc/entware_release | cut -f2 -d"="`.

Или ваще ставить "dnsmasq" по прямой ссылке (пока не протухнет):

`opkg install $(grep '[[:space:]]entware' /opt/etc/opkg.conf | cut -f3 -d' ')/test/dnsmasq-full_2.86-9999_$(grep '150' /opt/etc/opkg.conf | cut -f2 -d' ').ipk`.

`/opt/tmp/*`  может быть и пустым. )))

[Zeleza]

23 часа назад, TheBB сказал:

grep "arch" /opt/etc/entware_release | cut -f2 -d"="`.

Доброго дня
Варианты dnsmasq зашил жестко без ссылок. Архитектуру определял по opkg, но Ваш вариант более эффективный.
Благодарю.

Изменено 4 июня, 2022 пользователем Zeleza

[Art-9]

В 03.06.2022 в 03:40, Zeleza сказал:

У Вас получилать подобная связка? Все работает?

Доброго вечера, я не пробовал подобную связку конкретно с "КВАС", но не вижу особой разницы кто будет напрямую обращаться к dnsmasq - LAN клиенты или AdGuard Home.

 

[avn]

1 час назад, Art-9 сказал:

Доброго вечера, я не пробовал подобную связку конкретно с "КВАС", но не вижу особой разницы кто будет напрямую обращаться к dnsmasq - LAN клиенты или AdGuard Home.

 

Или наоборот, Upstream DNS в dnsmasq - один единственный, и это AdGuard Home. А в ADGuard - upstream DNS - это 1.1.1.1,8.8.8.8 и т.д.

Т.е. схема такая:

Все клиенты -> DNSMasq -> AdGuard Home -> глобальные DNS
                       -> Onion -> Tor
                       -> Сайт через антизапрет -> Антизапрет
                       -> и т.д.

# Глобальный Upstream на adguard
server=myadguard.adguard.com#5678

# Tor onion
server=/onion/127.0.0.1#9153

# Сайт через антизапрет
server=/my.site/10.194.1.1#53

# Сайты через 9-ки
server=/tmdb.org/themoviedb.org/9.9.9.9

Т.е. резолв идет сначало для доменов, с индивидуальными серверами для dns-резолвинга. А если индивидуально не настроено - то на глобальный dns.

Изменено 3 июня, 2022 пользователем avn

[Art-9]

2 часа назад, avn сказал:

Все клиенты -> DNSMasq -> AdGuard Home -> глобальные DNS

Вариант рабочий но при такой схеме часть функционала AdGuard будет потеряна - настройка клиентов, в журнале все запросы будут от одного устройства.

Изменено 4 июня, 2022 пользователем Art-9

[avn]

10 часов назад, Art-9 сказал:

Вариант рабочий но при такой схеме часть функционала AdGuard будет потеряна - настройка клиентов, в журнале все запросы будут от одного устройства.

Почитал исходники. ADH поддерживает ipset. DNSMasq - можно выкинуть из цепочки вообще. Я не пробовал.

 

## ipset

AGH can add IP addresses of the specified in configuration domain names to an ipset list.

Prepare: user creates an ipset list and configures AGH for using it.

	1. User --( ipset create my_ipset hash:ip ) -> OS
	2. User --( ipset: host.com,host2.com/my_ipset )-> AGH

		Syntax:

			ipset: "DOMAIN[,DOMAIN].../IPSET1_NAME[,IPSET2_NAME]..."

		IPv4 addresses are added to an ipset list with `ipv4` family, IPv6 addresses - to `ipv6` ipset list.

Run-time: AGH adds IP addresses of a domain name to a corresponding ipset list.

	1. AGH --( resolve host.com )-> upstream
	2. AGH <-( host.com:[1.1.1.1,2.2.2.2] )-- upstream
	3. AGH --( ipset.add(my_ipset, [1.1.1.1,2.2.2.2] ))-> OS

Конфиг:

dns:
 ipset:
 - domain.com/ipset_name
 - domain1.com,domain2.com/ipset_name,ipset_name2
...

Настройка upstream:

[/pool.ntp.org/]1.1.1.1
[/pool.ntp.org/]1.0.0.1
[/pool.ntp.org/]2606:4700:4700::1111
[/pool.ntp.org/]2606:4700:4700::1001

 

 

Изменено 4 июня, 2022 пользователем avn

[Zeleza]

35 минут назад, avn сказал:

Почитал исходники. ADH поддерживает ipset. DNSMasq - можно выкинуть из цепочки вообще. Я не пробовал.

Дорого дня
В продолжении темы, нашел немного о связке ADH + ipset (ниже перевод робота)

Источник

 

Источник

Если кто реализует подобную связку дайте знать пожалуйста.
Был бы признателен за детали.

Изменено 4 июня, 2022 пользователем Zeleza

[Art-9]

4 часа назад, avn сказал:

Почитал исходники. ADH поддерживает ipset. DNSMasq - можно выкинуть из цепочки вообще. Я не пробовал.

Благодарю, проверил - работает. Жаль я раньше не прочитал их вики (https://github.com/AdguardTeam/AdGuardHome/wiki/Configuration).

Использование ipset в AdGuardHome позволит мне из цепочки убрать не только dnsmasq но и https-dns-proxy.

[avn]

1 час назад, Art-9 сказал:

Благодарю, проверил - работает. Жаль я раньше не прочитал их вики (https://github.com/AdguardTeam/AdGuardHome/wiki/Configuration).

Использование ipset в AdGuardHome позволит мне из цепочки убрать не только dnsmasq но и https-dns-proxy.

Тоже все заработало с ipset:

[Zeleza]

1 час назад, Art-9 сказал:

Благодарю, проверил - работает.

C wildcard тоже работает?

[Art-9]

12 часа назад, Zeleza сказал:

C wildcard тоже работает?

Не использую wildcard, да и проверить "КВАС" я не могу - перешел на OpenWrt.

[Zeleza]

Доброго утра всем,

13 минуты назад, Art-9 сказал:

Не использую wildcard, да и проверить "КВАС" я не могу - перешел на OpenWrt.

Тогда полагаю, что отказываться от dnsmasq пока рано.)

[avn]

3 часа назад, Zeleza сказал:

Доброго утра всем,

Тогда полагаю, что отказываться от dnsmasq пока рано.)

AGH тормоз ещё тот. Только для побаловаться. Dnsmasq в сто раз меньше и быстрее.

Изменено 5 июня, 2022 пользователем avn

[Игорь Александрович Кривенко]

спасибо! всё отлично работает!

можно ли прикрутить к данному пакету управление скажем через веб страничку "в локалке", а не телеграмм бота? 

[Zeleza]

4 минуты назад, Игорь Александрович Кривенко сказал:

можно ли прикрутить к данному пакету управление скажем через веб страничку "в локалке", а не телеграмм бота? 

Доброго дня
Конечно можно, все достижимо.
Надо ли?

[vasek00]

9 часов назад, avn сказал:

AGH тормоз ещё тот.

В обычном режиме не замечено.

[avn]

4 минуты назад, vasek00 сказал:

В обычном режиме не замечено.

Что за обычный режим? Я к тому, что у него много накладных расходов.

[vasek00]

1 час назад, avn сказал:

Что за обычный режим? Я к тому, что у него много накладных расходов.

Обычный это тот для которого он предназначен. Много накладных это сколько грамов или 

Цитата

AGH тормоз ещё тот. Только для побаловаться. Dnsmasq в сто раз меньше и быстрее

Что в вашем понятие накладные расходы?

[avn]

2 часа назад, vasek00 сказал:

Обычный это тот для которого он предназначен. Много накладных это сколько грамов или 

Что в вашем понятие накладные расходы?

Статистика. А без статистики он нафиг не нужен. Это чисто мое субъективное мнение, да красивое, но мне такое не нужно. 1 2 3

[vasek00]

8 часов назад, avn сказал:

Статистика. А без статистики он нафиг не нужен. Это чисто мое субъективное мнение, да красивое, но мне такое не нужно. 1 2 3

Ожидал другого, т.е. ваша фраза Я к тому, что у него много накладных расходов  имеет отношение только к набору ссылок.  Это то же самое как на форумах посты - у меня wifi плохо работает а у меня нормально или у меня 50ms в у меня 120ms страница открылась и т.д. чисто статистика.

Для статистики при использование AdguardHome или DNSmasq - НЕ ЗАМЕТИЛ разницы в открытие страниц при том что оба на строены для проверки на 8.8.8.8 только один с кучей списков и фильтров а другой не с чем.